Après l’exploitation des données de 87 millions d'utilisateurs de Facebook par Cambridge Analytica - soit plus que les 50 millions initialement évoqués - pour cibler les électeurs américains, le réseau social aurait pu simplement décider de fermer le robinet aux développeurs tiers. Mais l'entreprise a préféré renforcer le contrôle de ses API en annonçant neuf initiatives qui modifient la manière dont Facebook gère les données transmises à des applications tierces.

L’un de ces changements sera très visible pour les utilisateurs, puisque, à partir du 9 avril, Facebook affichera en haut du fil d'actualités un lien qui permettra de voir quelles données sont utilisées et par quelles applications, avec la possibilité de désactiver lesdites applications. « Nous dirons également aux utilisateurs si leurs informations ont été partagées de manière inappropriée avec Cambridge Analytica », a ajouté Facebook. Alors que faire ? Si vous êtes résigné à utiliser Facebook, vous pourrez plus ou moins facilement accéder à des contrôles granulaires sur les applications qui utilisent vos données. Des guides disponibles en ligne expliquent comment télécharger ses données Facebook. Mais si vous ne supportez plus ces pratiques, vous pouvez supprimer, désactiver ou limiter votre compte Facebook. Attention : il ne suffit pas de cesser d'utiliser l'application si vos données sont déjà utilisées par un tiers.

La défense de Mark Zuckerberg

Actuellement, Facebook doit faire face à deux menaces majeures : d’abord, la multiplication et la propagation des rumeurs ; ensuite, l'information collectée par Facebook et livrée à des tiers. Mark Zuckerberg, directeur général de Facebook, a répondu aux questions des journalistes mercredi après-midi sur ces deux sujets. M. Zuckerberg, qui a démenti toute éventualité de démission, a également déclaré qu'il témoignerait devant le Congrès pour répondre à des questions sur la protection de la vie privée des utilisateurs du réseau social. « Au bout du compte, cela relève de ma responsabilité », a déclaré M. Zuckerberg. « Ce sujet a fait l’objet d’un certain nombre de questions. J'ai créé Facebook. Je dirige Facebook. Je suis responsable de ce qui se passe ici ».

Mark Zuckerberg a cité trois sources possibles de « fausses nouvelles » ayant influencé les élections américaines. Et cela pourrait se répéter à l'avenir si Facebook ne change pas son mode de fonctionnement : les « acteurs économiques », qui inventent de fausses nouvelles pour provoquer des clics et générer des recettes publicitaires ; les gros comptes publics comme l’Internet Research Agency, une agence financée par la Russie, dont Facebook a supprimé les comptes ; et les médias « légitimes », qui se contentent de reprendre des faits qui vont dans le sens de leur opinion. D’abord, Mark Zuckerberg a déclaré que Facebook travaillait contre les réseaux publicitaires qui financent les fausses nouvelles, et que le réseau social essayait aussi de promouvoir des sources d’informations dignes de confiance. « Je pense que jusque-là, j'ai commis l'erreur de penser que les fausses nouvelles étaient trop extravagantes pour être crédibles », a déclaré M. Zuckerberg.

Reste que les utilisateurs américains ont reçu de fausses nouvelles précisément parce que ces tiers et Facebook savaient beaucoup de choses sur leurs utilisateurs. La plupart des changements annoncés hier tentent de limiter la collecte et l'utilisation de ces informations, même si M. Zuckerberg a répété à plusieurs reprises que son réseau social n'avait jamais « vendu » de renseignements personnels à des tiers. Cependant, Facebook n'a pas mis en place des mesures de protection suffisantes pour empêcher la collecte de tels renseignements. M. Zuckerberg a déclaré que Facebook s'était focalisé sur la protection contre les attaques traditionnelles, comme le phishing. « Une attaque, comme l’a déclaré M. Zuckerberg, impliquait l'utilisation d'outils de récupération pour pister d'autres utilisateurs ». Même si Facebook a fixé des limites sur ces procédures en imposant un plafond maximum pour l’utilisation de la technique, les attaquants ont pu basculer d'une adresse IP à une autre adresse IP pour automatiser la procédure. « Je peux supposer que si l’utilisateur a activé ce paramètre [autorisant la recherche dans ses données publiques], quelqu'un a pu à un moment donné avoir accès à cette information », a déclaré M. Zuckerberg. Ce dernier a également déclaré que les utilisateurs pouvaient à juste titre assimiler cela à un « abus de confiance massif ». Le directeur de Facebook a fait remarquer que, malgré l’indignation soulevée par ce défaut de protection de la vie privée, il n'y a eu « aucun impact significatif ». Ajoutant tout de suite après : « Mais ce n'est pas normal ».

Les changements annoncés

Les mesures, décrites dans un blog de Facebook, portent sur l'utilisation des API par les développeurs tiers. En voici de courts extraits :

1. Facebook empêchera les applications utilisant son API Events d'accéder à la liste des invités participants à d’autres événements. Seules les applications approuvées et répondant aux « strictes exigences » de Facebook pourront utiliser l'API Events.

2. Toutes les applications tierces utilisant l'API Groups devront désormais obtenir l'approbation de Facebook et d'un administrateur pour s'assurer qu'elles profitent au groupe. Les applications ne pourront plus accéder à la liste des membres d'un groupe. Facebook supprimera également les informations personnelles, notamment les noms et les photos de profil, attachés aux messages ou aux commentaires auxquels les applications approuvées peuvent accéder.

3. Les applications susceptibles de lire les commentaires sur les messages utilisant l'API Pages devront être approuvées par Facebook.

4. Facebook devra approuver toutes les applications qui demandent l'accès à des informations du type check-in, « likes », photos, messages, vidéos, événements et groupes, et le réseau social imposera des « exigences strictes » pour permettre l’accès à ces données. Les applications ne pourront plus demander des informations personnelles comme les opinions religieuses ou politiques, le statut et des détails sur ses relations, les listes d'amis personnalisées, les cursus d’études et professionnels, les activités physiques, les lectures, les goûts musicaux, les médias, les préférences vidéo et les jeux.

5. L'API Instagram a été désapprouvée dès hier. (Facebook possède Instagram.)

6. Certains utilisateurs ont pu renseigner le numéro de téléphone ou l'adresse électronique d'une autre personne pour faciliter la recherche. Mais, parce que ces informations pourraient être utilisées à des fins malveillantes, Facebook a supprimé cette option.

7. Facebook supprimera les historiques d'appels et de messages texte pour les personnes utilisant Messenger ou Facebook Lite sur Android. Il ne mémorisera pas l'heure des appels.

8. Facebook va clôturer les Catégories partenaires, qui permettaient aux fournisseurs de données tiers de réaliser leur ciblage directement sur Facebook.

9. Enfin, Facebook va afficher les applications connectées à Facebook et les données qu'elles partagent.

Facebook a expliqué comment il compte offrir aux utilisateurs plus de capacités de contrôle sur les applications. « À partir du lundi 9 avril, les utilisateurs pourront voir en haut de leur fil d'actualités un lien qui leur permettra de savoir quelles applications sont utilisées, et quelles informations elles ont partagées avec ces applications », a écrit Facebook. « Les utilisateurs pourront également supprimer des applications dont ils ne veulent plus. De plus, nous dirons aux utilisateurs si leurs informations ont été partagées avec Cambridge Analytica de manière inappropriée ». « Dans l'ensemble, nous pensons que ces changements permettront de mieux protéger les informations personnelles, sans empêcher les développeurs de créer des expériences utiles », a conclu Mike Schroepfer, CTO de Facebook.